Páginas de inicio de sesión y detección del dominio de inicio
Actualizado: 19 de junio de 2015
Se aplica a: Azure
Microsoft Azure Active Directory Access Control (también conocido como servicio Access Control o ACS) proporciona dos maneras sencillas de generar una página de inicio de sesión federada para su sitio web o aplicación:
Opción 1: página de inicio de sesión de ACS-Hosted
ACS hospeda una página de inicio de sesión federada básica que se puede usar en la aplicación de usuario de confianza. Esta página de inicio de sesión se hospeda en el extremo del protocolo WS-Federation para su espacio de nombres y está disponible para el acceso mediante una dirección URL con el formato siguiente.
https://<YourNamespace>.accesscontrol.windows.net/v2/wsfederation?wa=wsignin1.0&wtrealm=<YourAppRealm>&redirect=false
En esta dirección URL, reemplace <YourNamespace> por el nombre del espacio de nombres Access Control. Además, la dirección URL requiere los parámetros siguientes:
wa: establezca el parámetro en wsignin1.0.
wtrealm: establezca el parámetro con el valor del dominio de su aplicación de usuario de confianza. Para buscar el valor de dominio, en el Portal de administración de ACS, haga clic en Aplicaciones de usuario de confianza, seleccione una aplicación y vea el campo Dominio.
Para buscar los vínculos de la página de inicio de sesión para las aplicaciones de usuario de confianza:
Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y, a continuación, haga clic en Active Directory. (Sugerencia de solución de problemas: falta el elemento "Active Directory" o no está disponible)
Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)
Haga clic en Integración de aplicaciones, haga clic en Páginas de inicio de sesión y luego seleccione una aplicación de usuario de confianza.
La página Integración de página de inicio de sesión muestra opciones de página de inicio de sesión para la aplicación.
En la imagen siguiente se muestra la página de inicio de sesión predeterminada de una aplicación que admite Windows Live ID (cuenta microsoft), Google, Yahoo!, Facebook y "Contoso Corp", un proveedor de identidades ficticio WS-Federation.
.gif "ACS 2.0 login pages")
Para reemplazar el botón del proveedor de identidades de WS-Federation por un cuadro de texto de dirección de correo electrónico, agregue los sufijos de la dirección de correo electrónico a los vínculos de la página de inicio de sesión de su proveedor de identidades de WS-Federation. Este enfoque resulta útil cuando hay muchos proveedores de identidades de WS-Federation configurados para su aplicación de usuario de confianza. La imagen siguiente muestra una página de ejemplo.
.gif "ACS 2.0 login pages")
Para acelerar la integración de ACS con la aplicación de usuario de confianza, use la página de inicio de sesión hospedada en ACS predeterminada. Para personalizar el diseño y la apariencia de esta página, guarde la página de inicio de sesión predeterminada como archivo HTML y copie el contenido HTML y JavaScript en su aplicación para personalizarla.
Opción 2: Hospedar una página de inicio de sesión personalizada como parte de la aplicación
Para habilitar el control total sobre la apariencia, el comportamiento y la ubicación de la página de inicio de sesión federada, ACS proporciona una fuente de metadatos con codificación JSON con los nombres, direcciones URL de inicio de sesión, imágenes y nombres de dominio de correo electrónico (solo) de los proveedores de identidades. El tiempo que tarda el fundido de entrada de la superposición de audio. Valores válidos:
Página de inicio de sesión personalizada de ejemplo
Para descargar una página de inicio de sesión HTML de ejemplo para cada una de sus aplicaciones de usuario de confianza:
Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y, a continuación, haga clic en Active Directory. (Sugerencia de solución de problemas: falta el elemento "Active Directory" o no está disponible)
Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)
Haga clic en Integración de aplicaciones, haga clic en Páginas de inicio de sesión y luego seleccione una aplicación de usuario de confianza.
En la página Integración de página de inicio de sesión, haga clic en Descargar página de inicio de sesión de ejemplo.
El código HTML de ejemplo es idéntico al código HTML de la página de inicio de sesión hospedado en ACS.
Este ejemplo incluye funciones JavaScript que permiten representar la página. La etiqueta de script situada en la parte inferior de la página llama a la fuente de metadatos. Las páginas de inicio de sesión personalizadas pueden consumir los metadatos usando código HTML y JavaScript de cliente tal como se muestra en este ejemplo. La fuente también se puede consumir y usar para representar un control de inicio de sesión personalizado en cualquier lenguaje que admita la codificación JSON.
Fuente de metadatos de detección de dominio de inicio
Para buscar las direcciones URL de fuente de metadatos de detección de dominio de inicio para sus aplicaciones de usuario de confianza:
Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y, a continuación, haga clic en Active Directory. (Sugerencia de solución de problemas: falta el elemento "Active Directory" o no está disponible)
Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)
Haga clic en Integración de aplicaciones, haga clic en Páginas de inicio de sesión y luego seleccione una aplicación de usuario de confianza.
La dirección URL aparece en la página De integración de la página de inicio de sesión de la aplicación en Opción 2: Hospedar la página de inicio de sesión como parte de la aplicación.
A continuación se muestra una dirección URL de fuente de detección de dominio de inicio de ejemplo.
https://YourNamespace.accesscontrol.windows.net/v2/metadata/IdentityProviders.js?protocol=wsfederation&realm=YourAppRealm&reply_to=YourAppReturnURL&context=&version=1.0&callback=OptionalFunctionName
Esta dirección URL utiliza los parámetros siguientes:
YourNamespace: obligatorio. Configurado con el nombre de su espacio de nombres de Azure.
protocol: obligatorio. Este es el protocolo que usa la aplicación de usuario de confianza para comunicarse con ACS. En ACS, este valor debe establecerse en wsfederation.
realm: obligatorio. Este es el dominio que especificó para la aplicación de usuario de confianza en el Portal de administración de ACS.
version: obligatorio. En ACS, este valor debe establecerse en 1.0.
reply_to: opcional. Esta es la dirección URL de retorno que especificó para la aplicación de usuario de confianza en el Portal de administración de ACS. Si se omite, el valor de la dirección URL de devolución se establece en el valor predeterminado configurado para la aplicación de usuario de confianza en el Portal de administración de ACS.
context: opcional. Contexto adicional que puede transmitirse a la aplicación de usuario de confianza en el token. ACS no reconoce estos contenidos.
callback: opcional. Puede configurar este parámetro con el nombre de una función JavaScript que quiera ejecutar cuando se cargue la fuente JSON. La cadena de fuente JSON es el argumento que se transmite a esta función.
Nota
La fuente de metadatos codificada con JSON puede estar sujeta a cambios, por lo que se recomienda no almacenarla en la caché.
Formato de datos de fuente JSON
Cuando se solicita la fuente de metadatos con parámetros válidos, tal como se ha descrito anteriormente, la respuesta que se obtiene es un documento que contiene matrices de matrices codificadas mediante JSON con una matriz interna que representa un proveedor de identidades con los campos siguientes:
Name: nombre para mostrar legible del proveedor de identidades.
LoginUrl: dirección URL de solicitud de inicio de sesión construida.
LogoutUrl: esta dirección URL permite a los usuarios finales cerrar la sesión del proveedor de identidades con el que iniciaron sesión. Actualmente, esto solo se admite para y Windows Live ID (cuenta Microsoft) y está vacío para otros proveedores de identidades.
ImageUrl: imagen que se va a mostrar, tal como se configura en el Portal de administración de ACS. El campo aparecerá en blanco si no hay ninguna imagen.
EmailAddressSuffixes: matriz de sufijos de dirección de correo electrónico asociada al proveedor de identidades. En ACS, los sufijos de dirección de correo electrónico solo se pueden configurar para proveedores de identidades a través del Portal de administración de ACS. El campo devolverá una matriz vacía si no hay ningún sufijo configurado.
En el ejemplo siguiente se muestra la fuente JSON cuando Windows Live ID y AD FS 2.0 están configurados para la aplicación de usuario de confianza. El usuario ha establecido una dirección URL de imagen para Windows Live ID en el Portal de administración de ACS y ha agregado un sufijo de dominio de correo electrónico para el proveedor de identidades.
Nota
Se han agregado saltos de línea para mejorar la legibilidad. Asimismo, por brevedad, se han simplificado las direcciones URL.
[ {
"Name":"Windows Live ID",
"LoginUrl":" https://...",
"LogoutUrl":" https://...",
"ImageUrl":"https://...",
"EmailAddressSuffixes":[]
},
{
"Name":"My ADFS 2.0 Provider",
"LoginUrl":" https://...",
"LogoutUrl":" https://...",
"ImageUrl":"",
"EmailAddressSuffixes":[“contoso.com”]
} ]